Newsletter #20

VerfasserRTR-GmbH
Datum18.12.2001
Aktualitäthistorisches Dokument
InhaltSehr geehrte Damen und Herren!

Die Aufsichtsstelle für elektronische Signaturen kann über zwei
neue österreichische Zertifizierungsdienste berichten:

1. Akkreditierung der Datakom Austria GmbH

In der Sitzung der Telekom-Control-Kommission vom 17.12.2001
wurde die Datakom Austria GmbH als erster österreichischer
Zertifizierungsdiensteanbieter gemäß § 17 SigG akkreditiert.

Die Akkreditierung bezieht sich auf den Zertifizierungsdienst
"a-sign Premium", bei welchem die Datakom Austria GmbH
qualifizierte Zertifikate für sichere elektronische Signaturen
ausstellt.

Kunden dieses Zertifizierungsdienstes erhalten von der Datakom
Austria GmbH eine Starcos-Chipkarte, welche entsprechend der
Signaturverordnung auf Sicherheit geprüft und bescheinigt ist.
Als sogenannter "Secure Viewer" wird die Software ProSIGN
Version 2.0 des Grazer Systemhauses Infonova eingesetzt. Mit
dieser Software können XML-Dokumente sicher elektronisch
signiert werden. Die sichere Signatur erfüllt das rechtliche
Erfordernis der eigenhändigen Unterschrift.

Weitere Informationen zum Dienst "a-sign Premium":
http://www.signatur.rtr.at/de/providers/services/a-sign-premium.html

Der Spruch des Akkreditierungsbescheides und die rechtliche
Begründung können hier abgerufen werden:
http://www.signatur.rtr.at/de/repository/tkk-accreditation-datakom-20011217.html

2. Qualifizierte Zertifikate von A-Trust

Am 15.12.2001 hat die A-Trust Gesellschaft für Sicherheits-
systeme im elektronischen Datenverkehr GmbH ihren
Zertifizierungsdienst "trust|sign" aufgenommen. Im Rahmen dieses
Dienstes stellt A-Trust qualifizierte Zertifikate für die
einfache Signatur aus.

Kunden dieses Zertifizierungsdienstes erhalten von A-Trust
ebenfalls eine Starcos-Chipkarte, welche entsprechend der
Signaturverordnung auf Sicherheit geprüft und bescheinigt ist.
Ein "Secure Viewer" wird im Zusammenhang mit diesen Zertifikaten
aber nicht zwingend eingesetzt, weshalb die von den Kunden
dieses Zertifizierungsdienstes erzeugten Signaturen nicht das
rechtliche Erfordernis der eigenhändigen Unterschrift erfüllen.

Weitere Informationen zum Dienst "trust|sign":
http://www.signatur.rtr.at/de/providers/services/atrust-trustsign.html

3. Gemeinsamkeiten und Unterschiede der beiden Dienste

3.1 Qualifiziertes Zertifikat

Bei beiden Zertifizierungsdiensten handelt es sich um Dienste,
mit welchen qualifizierte Zertifikate ausgestellt werden. Dazu
muss der Zertifizierungsdiensteanbieter hohe Anforderungen
- vor allem an die Sicherheit der technischen Einrichtungen in
seinem Trust-Center und in den Registrierungsstellen - erfüllen
und er muss gewährleisten, dass qualifizierte Zertifikate nur
nach Identitätsprüfung anhand eines amtlichen Lichtbildausweises
ausgestellt werden.

3.2 Sichere elektronische Signatur

Damit mit einem qualifizierten Zertifikat auch sichere
elektronische Signaturen erstellt werden können, welche das
rechtliche Erfordernis der Schriftform erfüllen, werden
zusätzlich Anforderungen an die technischen Komponenten beim
Kunden (dem Signator) gestellt:

3.2.1 Sichere Signaturerstellungseinheit

Der Signator muss über eine Signaturerstellungseinheit
verfügen, welche nach dem Stand der Technik geprüft und von
einer Bestätigungsstelle bescheinigt ist. Beide Anbieter
verwenden zu diesem Zweck eine Starcos-Chipkarte. Die
Chipkarte ist nach ITSEC E4 hoch evaluiert und wurde von der
Bestätigungsstelle A-SIT bescheinigt.

3.2.2 Secure Viewer

Die Signaturverordnung verlangt weiters, dass der Signator für
die Erstellung sicherer elektronischer Signaturen Komponenten
verwendet, welche ihm die vollständige Anzeige der zu
signierenden Daten ermöglichen (sog. "Secure Viewer"). In diesem
Punkt unterscheiden sich die beiden Dienste.

Die Datakom Austria GmbH verfügt mit ProSIGN Version 2.0 über
einen Secure Viewer, der XML-Dokumente sicher signieren kann.
Die Zertifikate des Zertifizierungsdienstes "a-sign Premium"
dürfen derzeit auch nur gemeinsam mit diesem Programm verwendet
werden, es können also derzeit nur Dokumente im Format XML
signiert werden. XML eignet sich vor allem für Formulare im
e-Commerce und e-Government. Die Datakom Austria GmbH kann in
Zukunft auch noch weitere Secure Viewer anbieten.

A-Trust stellt seinen Kunden derzeit keinen Secure Viewer zur
Verfügung. Die im Rahmen des Zertifizierungsdienstes
"trust|sign" erstellten Signaturen erfüllen daher nicht das
Erfordernis der Schriftform, allerdings können beliebige
Dokumentenformate signiert werden.

Grundsätzlich muss auch ein "Secure Viewer" evaluiert und von
einer Bestätigungsstelle bescheinigt sein. In Anbetracht des
Umstandes, dass "Secure Viewer" auf dem Markt kaum erhältlich
sind, hat die Aufsichtsstelle aber entschieden, dass eine
Akkreditierung auch dann ausgesprochen werden kann, wenn die
Software in auslieferbarer Form vorliegt, wenn eine Evaluierung
und Bescheinigung bereits in Auftrag gegeben wurde und der
Aufsichtsstelle eine Erklärung des Evaluators vorliegt, dass
aus seiner Sicht keine Umstände vorliegen, die eine erfolg-
reiche Evaluierung von vornherein ausschließen.

Die Datakom Austria GmbH konnte in der letzten Woche vorführen,
dass die Software ProSIGN Version 2.0 in auslieferbarer Form
vorliegt und mit der Starcos-Chipkarte zusammenarbeitet. Damit
war der letzte offene Punkt geklärt und die Telekom-Control-
Kommission als Aufsichtsstelle für elektronische Signaturen
konnte die Akkreditierung beschließen.

3.3 Anzeige/Akkreditierung

Auch in formaler Hinsicht unterscheiden sich die beiden Dienste.
Das Signaturgesetz sieht zwei Möglichkeiten vor, einen
Zertifizierungsdienst aufzunehmen. Wenn der Anbieter den Dienst
der Aufsichtsstelle anzeigt, kann er sofort die Tätigkeit
aufnehmen. Die Überprüfung durch die Aufsichtsstelle erfolgt im
Nachhinein. Beantragt der Anbieter hingegen die Akkreditierung,
so erfolgt zunächst die Überprüfung durch die Aufsichtsstelle
und erst dann kann der Anbieter den Zertifizierungsdienst
aufnehmen. Eine Akkreditierung ist nur für Anbieter sicherer
elektronischer Signaturverfahren möglich.

- Die Datakom Austria GmbH hat den Weg der Akkreditierung
gewählt. Mit ihrem Bescheid vom 17.12.2001 hat die Telekom-
Control-Kommission das Überprüfungsverfahren abgeschlossen
und der Datakom Austria GmbH das Recht verliehen, sich
"Akkreditierter Zertifizierungsdiensteanbieter" zu nennen.
Die Datakom Austria GmbH muss den Dienst "a-sign Premium"
nun binnen drei Monaten aufnehmen.

- A-Trust hat der Aufsichtsstelle angezeigt, am 15.12.2001
den Dienst "trust|sign" aufzunehmen. Das Überprüfungsverfahren
durch die Aufsichtsstelle ist noch nicht abgeschlossen.
Allerdings wurden bereits einige Überprüfungen (unter anderem
einen Augenschein in den Räumlichkeiten von A-Trust)
vorgenommen und die Telekom-Control-Kommission hat keinen
Anlass gesehen, Aufsichtsmaßnahmen zu ergreifen.

In beiden Verfahren hat die Telekom-Control-Kommission als für
die Aufsicht und die Akkreditierung zuständige Behörde
beschlossen, sich mit der Bestätigungsstelle A-SIT zu beraten
und A-SIT um ein Gutachten zur technischen Sicherheit zu
ersuchen. Weiters hat die Telekom-Control-Kommission in beiden
Verfahren ihre Geschäftsstelle, die RTR-GmbH, mit Erhebungen,
insbesondere mit der Vornahme eines Augenscheins, beauftragt.

Mit freundlichen Grüßen

Dieter Kronegger

----------------------------------------------------------------
Newsletter der Aufsichtsstelle für elektronische Signaturen
comments/subscribe/unsubscribe: signatur-newsletter@rtr.at
----------------------------------------------------------------
Aufsichtsstelle für elektronische Signaturen
Telekom-Control-Kommission und
Rundfunk und Telekom Regulierungs-GmbH
Mariahilfer Str. 77-79
A-1060 Wien
Tel. +43/1/58058-407
Fax: +43/1/58058-9191
E-Mail: signatur@signatur.rtr.at
---------------------------------------------------------------